৪. LDAP ক্লায়েন্টদের নিরাপদ LDAP পরিষেবার সাথে সংযুক্ত করুন

এই পদক্ষেপগুলি অনুসরণ করুন:

1. ক্লায়েন্ট সার্টিফিকেট ইনস্টল করতে ldp.exe (উইন্ডোজ) এর ১-১১ ধাপ অনুসরণ করুন।
2. অ্যাকশন > কানেক্ট টু…-এ যান।
3. নিম্নলিখিত সংযোগ সেটিংস লিখুন:
   
   নাম: আপনার সংযোগের জন্য একটি নাম টাইপ করুন, যেমন Google LDAP ।
   সংযোগ বিন্দু: "একটি বিশিষ্ট নাম বা নামকরণ প্রসঙ্গ নির্বাচন করুন বা টাইপ করুন"
   আপনার ডোমেইন নামটি DN ফর্ম্যাটে লিখুন (উদাহরণস্বরূপ, dc=example,dc=com example.com )।
   
   কম্পিউটার: "একটি ডোমেন বা সার্ভার নির্বাচন করুন বা টাইপ করুন"
   ldap.google.com সম্পর্কে
   
   SSL-ভিত্তিক এনক্রিপশন ব্যবহার করুন: চেক করা হয়েছে
   
4. Advanced... এ ক্লিক করুন, এবং নিম্নলিখিত বিবরণ লিখুন:
   
   শংসাপত্র নির্দিষ্ট করুন: চেক করা হয়েছে
   ব্যবহারকারীর নাম: অ্যাডমিন কনসোল থেকে অ্যাক্সেস শংসাপত্র ব্যবহারকারীর নাম
   পাসওয়ার্ড: অ্যাডমিন কনসোল থেকে অ্যাক্সেস ক্রেডেনশিয়াল পাসওয়ার্ড
   পোর্ট নম্বর: ৬৩৬
   প্রোটোকল: LDAP
   সহজ বাইন্ড প্রমাণীকরণ: চেক করা হয়েছে
   
5. ঠিক আছে ক্লিক করুন, এবং তারপর আবার ঠিক আছে ক্লিক করুন।
6. যদি সংযোগ সফল হয়, তাহলে বেস DN-এর সক্রিয় ডিরেক্টরি বিষয়বস্তু ডান প্যানেলে প্রদর্শিত হবে।

অ্যাপাচি ডিরেক্টরি স্টুডিও ব্যবহার করতে, stunnel এর মাধ্যমে সংযোগ করুন এবং Google Admin কনসোলে তৈরি একটি অ্যাক্সেস ক্রেডেনশিয়াল (ব্যবহারকারীর নাম এবং পাসওয়ার্ড) ব্যবহার করুন। ধরে নিন যে ক্রেডেনশিয়ালগুলি যথাস্থানে আছে, এবং ধরে নিন যে stunnel লোকালহোস্ট পোর্ট 1389 এ শুনছে, এই পদক্ষেপগুলি অনুসরণ করুন:

1. ফাইল > নতুন... এ ক্লিক করুন।
2. LDAP ব্রাউজার > LDAP সংযোগ নির্বাচন করুন।
3. পরবর্তী ক্লিক করুন।
4. সংযোগের প্যারামিটারগুলি লিখুন:
   
   সংযোগের নাম: একটি নাম বেছে নিন, যেমন Google LDAP
   হোস্টনাম: লোকালহোস্ট
   পোর্ট: ১৩৮৯ (অথবা স্টানেল লিসেন/অ্যাক্সেপ্ট পোর্ট)
   এনক্রিপশন পদ্ধতি: কোনও এনক্রিপশন নেই (দ্রষ্টব্য: যদি স্টানেল দূর থেকে চলমান থাকে, তাহলে স্টানেল এবং ক্লায়েন্টের মধ্যে এনক্রিপশন করার পরামর্শ দেওয়া হয়।)
   
5. পরবর্তী ক্লিক করুন।
6. প্রমাণীকরণ প্যারামিটারগুলি লিখুন:
   
   প্রমাণীকরণ পদ্ধতি: সহজ প্রমাণীকরণ
   DN বা ব্যবহারকারীকে বাঁধুন: অ্যাডমিন কনসোল থেকে অ্যাক্সেস শংসাপত্রের ব্যবহারকারীর নাম
   বাইন্ড পাসওয়ার্ড: অ্যাডমিন কনসোল থেকে অ্যাক্সেস ক্রেডেনশিয়াল পাসওয়ার্ড
   
7. পরবর্তী ক্লিক করুন।
8. বেস ডিএন লিখুন।
   এটি আপনার ডোমেইন নাম DN ফর্ম্যাটে ( dc=example,dc=com for example.com )।
9. Finish এ ক্লিক করুন।

ব্যবহারকারী প্রমাণীকরণের সময় ব্যবহারকারী সম্পর্কে আরও তথ্য পেতে Atlassian Jira একটি ব্যবহারকারীর অনুসন্ধান করে। এই LDAP ক্লায়েন্টের জন্য ব্যবহারকারীর প্রমাণীকরণ সঠিকভাবে কাজ করে তা নিশ্চিত করার জন্য, যেখানে ব্যবহারকারীর শংসাপত্র যাচাই করা আছে সেখানে আপনাকে সমস্ত সাংগঠনিক ইউনিটের জন্য ব্যবহারকারীর তথ্য পড়ুন এবং গ্রুপ তথ্য পড়ুন চালু করতে হবে। (নির্দেশাবলীর জন্য, অ্যাক্সেস অনুমতি কনফিগার করুন দেখুন।)

গুরুত্বপূর্ণ: নিম্নলিখিত নির্দেশাবলী ব্যবহার করলে ব্যবহারকারী এবং লগ ফাইলের কাছে keystorePassword সম্ভাব্যভাবে উন্মুক্ত হতে পারে। স্থানীয় শেল, লগফাইল এবং Google অ্যাডমিন কনসোলে অননুমোদিত অ্যাক্সেস এড়াতে সতর্কতা অবলম্বন করুন। নিম্নলিখিত নির্দেশাবলীর বিকল্প হিসাবে, stunnel4 পদ্ধতিটি ব্যবহার করুন ( ঐচ্ছিক দেখুন: stunnel কে প্রক্সি হিসেবে ব্যবহার করুন )।

দ্রষ্টব্য: নিম্নলিখিত নির্দেশাবলী ধরে নিচ্ছি যে জিরা /opt/atlassian/jira এ ইনস্টল করা আছে।

একটি Atlassian Jira ক্লায়েন্টকে Secure LDAP পরিষেবার সাথে সংযুক্ত করতে:

1. আপনার জিরা সার্ভারে সার্টিফিকেট এবং কী কপি করুন। (এটি সেই সার্টিফিকেট যা সিকিউর LDAP পরিষেবাতে LDAP ক্লায়েন্ট যোগ করার সময় Google অ্যাডমিন কনসোলে তৈরি হয়।)
   
   উদাহরণস্বরূপ:
   $ scp ldap-client.key user@jira-server:
   
2. সার্টিফিকেট এবং কীগুলিকে জাভা কীস্টোর ফর্ম্যাটে রূপান্তর করুন। এই প্রক্রিয়া জুড়ে আপনাকে পাসওয়ার্ডের জন্য অনুরোধ করা হবে। সহজ করার জন্য, একটি নিরাপদ পাসওয়ার্ড নির্বাচন করুন এবং সমস্ত প্রম্পটের জন্য একই পাসওয়ার্ড ব্যবহার করুন।
   
   $ openssl pkcs12 -export -out jira-ldap.pkcs12 -in ldap-client.crt -inkey ldap-client.key

$ sudo /opt/atlassian/jira/jre/bin/keytool -v -importkeystore -srckeystore jira-ldap.pkcs12 -srcstoretype PKCS12 -destkeystore /opt/atlassian/jira/jira-ldap.jks -deststoretype JKS
   
3. নতুন তৈরি কীস্টোর ব্যবহার করার জন্য জিরা কনফিগার করুন। বিকল্পগুলি যোগ করতে এখানে নির্দেশাবলী অনুসরণ করুন:
   
   "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=পাসওয়ার্ড"
   
   লিনাক্সে:
   1. /opt/atlassian/jira/bin/setenv.sh সম্পাদনা করুন।
   2. JVM_SUPPORT_RECOMMENDED_ARGS সেটিংটি খুঁজুন।
   3. "-Djavax.net.ssl.keyStore=/opt/atlassian/jira/jira-ldap.jks -Djavax.net.ssl.keyStorePassword=password" যোগ করুন, "password" এর পরিবর্তে উপরে আপনার নির্বাচিত পাসওয়ার্ডটি ব্যবহার করুন।
4. জিরা পুনরায় চালু করুন।
   
   $ /opt/atlassian/jira/bin/stop-jira.sh
$ /opt/atlassian/jira/bin/start-jira.sh
   
5. প্রশাসক হিসেবে জিরা ওয়েব ইন্টারফেসে সাইন ইন করুন।
   1. সেটিংস > ব্যবহারকারী ব্যবস্থাপনায় যান। (সেটিংসগুলির জন্য, উপরের ডানদিকে গিয়ার আইকনে যান।)
   2. ব্যবহারকারী ডিরেক্টরিগুলিতে ক্লিক করুন।
   3. ডিরেক্টরি যোগ করুন ক্লিক করুন।
   4. টাইপ হিসেবে LDAP বেছে নিন।
   5. পরবর্তী ক্লিক করুন।
6. নিম্নলিখিতটি লিখুন:

   নাম	গুগল সিকিউর এলডিএপি
   ডিরেক্টরির ধরণ	ওপেনএলডিএপি
   হোস্টনাম	ldap.google.com সম্পর্কে
   বন্দর	৬৩৬
   SSL ব্যবহার করুন	চেক করা হয়েছে
   ব্যবহারকারীর নাম	গুগল অ্যাডমিন কনসোলে একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড তৈরি করুন। নির্দেশাবলীর জন্য, অ্যাক্সেস শংসাপত্র তৈরি করুন দেখুন।
   পাসওয়ার্ড	গুগল অ্যাডমিন কনসোলে একটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড তৈরি করুন। নির্দেশাবলীর জন্য, অ্যাক্সেস শংসাপত্র তৈরি করুন দেখুন।
   বেস ডিএন	আপনার ডোমেন নাম DN ফর্ম্যাটে। (উদাহরণস্বরূপ, dc=example,dc=com example.com এর জন্য)
   অতিরিক্ত ব্যবহারকারী ডিএন	ঐচ্ছিক। "ou=ব্যবহারকারী"
   অতিরিক্ত গ্রুপ ডিএন	ঐচ্ছিক। "ou=গোষ্ঠী"
   LDAP অনুমতি	কেবল পঠনযোগ্য
   উন্নত সেটিংস	অপরিবর্তিত
   ব্যবহারকারী স্কিমা সেটিংস > ব্যবহারকারীর নাম বৈশিষ্ট্য	গুগলইউআইডি
   ব্যবহারকারী স্কিমা সেটিংস > ব্যবহারকারীর নাম RDN বৈশিষ্ট্য	ইউআইডি
   গ্রুপ স্কিমা সেটিংস > গ্রুপ অবজেক্ট ক্লাস	গ্রুপঅফনেমস
   গ্রুপ স্কিমা সেটিংস > গ্রুপ অবজেক্ট ফিল্টার	(অবজেক্টক্লাস=নামের গ্রুপ)
   সদস্যপদ স্কিমা সেটিংস > গ্রুপ সদস্যদের বৈশিষ্ট্য	সদস্য
   সদস্যপদ স্কিমা সেটিংস > ব্যবহারকারী সদস্যপদ বৈশিষ্ট্য ব্যবহার করুন	চেক করা হয়েছে

7. একটি দলকে একটি ভূমিকা দিন।
   
   Atlassian Jira একজন ব্যবহারকারীকে লগ ইন করার অনুমতি দেওয়ার আগে, সেই ব্যবহারকারীকে অবশ্যই এমন একটি গোষ্ঠীর সদস্য হতে হবে যাদের Jira-তে অ্যাক্সেস দেওয়া হয়েছে।
   
   একটি গ্রুপকে একটি ভূমিকা প্রদান করতে:
   1. সেটিংস > অ্যাপ্লিকেশন > অ্যাপ্লিকেশন অ্যাক্সেস এ যান।
   2. "গ্রুপ নির্বাচন করুন" টেক্সট বক্সে, আপনি যে গুগল গ্রুপের জন্য জিরা অ্যাক্সেস দিতে চান তার নাম লিখুন।

ক্লাউডবিস কোরকে সিকিউর এলডিএপি পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, গুগলের ক্লাউড আইডেন্টিটি সিকিউর এলডিএপি দিয়ে ক্লাউডবিস কোর কনফিগার করুন দেখুন।

এই পদক্ষেপগুলি অনুসরণ করুন:

1. /etc/freeradius/3.0/ এ FreeRADIUS ইনস্টল এবং কনফিগার করুন।
   
   একবার FreeRADIUS ইনস্টল হয়ে গেলে, আপনি freeradius-ldap প্লাগইন ইনস্টল করে LDAP কনফিগারেশন যোগ করতে পারেন।
   
   $ sudo apt-get install freeradius freeradius-ldap
   
2. LDAP ক্লায়েন্ট কী এবং সার্টিফিকেট ফাইলগুলি যথাক্রমে /etc/freeradius/3.0/certs/ldap-client.key এবং /etc/freeradius/3.0/certs/ldap-client.crt এ কপি করুন।
   
   $ chown freeradius:freeradius
/etc/freeradius/3.0/certs/ldap-client.*
$ chmod 640 /etc/freeradius/3.0/certs/ldap-client.*
   
3. LDAP মডিউল সক্রিয় করুন।
   
   $ cd /etc/freeradius/3.0/mods-enabled/
$ ln -s ../mods-available/ldap ldap
   
4. /etc/freeradius/3.0/mods-available/ldap সম্পাদনা করুন।
   1. ldap-> সার্ভার = 'ldaps://ldap.google.com:636'
   2. পরিচয় = অ্যাপ্লিকেশন শংসাপত্র থেকে ব্যবহারকারীর নাম
   3. পাসওয়ার্ড = অ্যাপ্লিকেশন শংসাপত্র থেকে পাসওয়ার্ড
   4. বেস_ডিএন = 'ডিসি=ডোমেইন,ডিসি=কম'
   5. tls->start_tls = না
   6. tls->certificate_file = /etc/freeradius/3.0/certs/ldap-client.cer
   7. tls->private_key_file = /etc/freeradius/3.0/certs/ldap-client.key
   8. tls->require_cert = 'অনুমতি দিন'
   9. 'ldap -> post-auth -> update' বিভাগের প্রতিনিধিত্বকারী ব্রেডক্রাম্বের সমস্ত ক্ষেত্র মন্তব্য করুন।
5. /etc/freeradius/3.0/sites-available/default সম্পাদনা করুন।
   এটি FreeRadius ক্লায়েন্ট সংযোগ পরিবর্তন করে। যদি আপনি ডিফল্ট ক্লায়েন্ট ব্যবহার না করেন, তাহলে আপনার কনফিগার করা প্রাসঙ্গিক ক্লায়েন্ট (ইনার-টানেল বা যেকোনো কাস্টম ক্লায়েন্ট) আপডেট করতে ভুলবেন না।
   
   1. পাসওয়ার্ড অথেনটিকেশন প্রোটোকল (PAP) স্টেটমেন্টের পরে নীচে নিম্নলিখিত ব্লকটি যুক্ত করতে অনুমোদন বিভাগটি পরিবর্তন করুন:
      
      if (User-Password) {
update control {
Auth-Type := ldap
}
}
      
   2. অনুমোদন বিভাগে, LDAP এর আগে থাকা '-' চিহ্নটি সরিয়ে এটি সক্রিয় করুন।
      
      #
      # ldap মডিউল LDAP ডাটাবেস থেকে পাসওয়ার্ড পড়ে।
      ldap সম্পর্কে
      
   3. Auth-Type LDAP ব্লকটি নিম্নরূপ সম্পাদনা করে প্রমাণীকরণ বিভাগটি পরিবর্তন করুন:
      
      # Auth-Type LDAP {
ldap
# }
      
   4. Auth-Type PAP ব্লকটি নিম্নরূপ সম্পাদনা করে প্রমাণীকরণ বিভাগটি পরিবর্তন করুন:
      
      Auth-Type PAP {
# pap
ldap
}

GitLab কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, GitLab এর জন্য Google Secure LDAP কনফিগার করুন দেখুন।

Itopia/Ubuntu কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, ব্যবহারকারীর লগইনের জন্য Ubuntu 16.04 এ Google Cloud Identity LDAP কনফিগার করা দেখুন।

এই পদক্ষেপগুলি অনুসরণ করুন:

1. আপনার ইভান্টি ওয়েব সার্ভারে, নিম্নলিখিত দুটি ফোল্ডারে একটি টেক্সট এডিটরে OpenLDAPAuthenticationConfiguration.xml অথবা OpenLDAPSSLAuthenticationConfiguration.xml খুলুন:
   
   C:\ProgramData\LANDesk\ServiceDesk\servicedesk.Framework এবং C:\ProgramData\LANDesk\ServiceDesk\servicedesk.WebAccess (যেখানে servicedesk হল ইনস্ট্যান্সের নাম)
2. <Server> মানটি ldap.google.com এ আপডেট করুন।
3. <Port> মানটি StartTLS সক্ষম থাকা অবস্থায় স্পষ্ট টেক্সটের জন্য পোর্ট 3268 এবং SSL/TLS পোর্টের জন্য 3269 এ আপডেট করুন (ডিফল্ট মান হল স্পষ্ট টেক্সট পোর্টের জন্য 389 অথবা SSL/TLS পোর্টের জন্য 636 )।
4. আপনার ডোমেইন নামের জন্য <TestDN> মানটি DN ফর্ম্যাটে সেট করুন। (উদাহরণস্বরূপ, dc=example,dc=com example.com এর জন্য)।
5. ..ProgramData\LANDesk\ServiceDesk\ServiceDesk.Framework\tps.config এবং ..ProgramData\LANDesk\ServiceDesk\WebAccess\tps.config উভয় ক্ষেত্রেই লাইনটি যোগ করুন:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPLogon.OpenLDAPAuthenticationProvider" />
   
   অথবা লাইন:
   
   <add key="AuthenticationProvider" value="Touchpaper.Integrations.OpenLDAPSSLLogon.OpenLDAPSSLAuthenticationProvider" />
   
6. ইভান্তি কনফিগারেশন সেন্টারে, প্রয়োজনীয় ইনস্ট্যান্সটি খুলুন।
7. সার্ভিস ডেস্ক ফ্রেমওয়ার্ক অ্যাপ্লিকেশনের পাশে, সম্পাদনা করুন এ ক্লিক করুন।
   সার্ভিস ডেস্ক ফ্রেমওয়ার্কের জন্য অ্যাপ্লিকেশন সম্পাদনা করুন ডায়ালগটি প্রদর্শিত হবে।
8. কনফিগারেশন প্যারামিটার গ্রুপে, লগঅন নীতি তালিকা থেকে শুধুমাত্র স্পষ্ট নির্বাচন করুন, তারপর ঠিক আছে ক্লিক করুন।
9. ওয়েব অ্যাক্সেস অ্যাপ্লিকেশনের পাশে, সম্পাদনা করুন এ ক্লিক করুন।
   ওয়েব অ্যাক্সেসের জন্য অ্যাপ্লিকেশন সম্পাদনা করুন ডায়ালগটি প্রদর্শিত হবে।
10. কনফিগারেশন প্যারামিটার গ্রুপে, লগঅন নীতি তালিকা থেকে শুধুমাত্র স্পষ্ট নির্বাচন করুন, এবং তারপর ঠিক আছে ক্লিক করুন।

লগ ইন করার সময়, সংশ্লিষ্ট ডোমেইন ব্যবহারকারীর নেটওয়ার্ক পাসওয়ার্ড ব্যবহার করুন।

LDAP সার্ভার প্রমাণীকরণের জন্য ব্যতিক্রম লগিং

যদি আপনার LDAP সার্ভার প্রমাণীকরণ কনফিগার করতে সমস্যা হয়, তাহলে সমস্যাটি সনাক্ত করতে আপনি ব্যতিক্রম লগিং সক্ষম করতে পারেন। ডিফল্টরূপে, এটি অক্ষম থাকে এবং আমরা সুপারিশ করি যে আপনি আপনার তদন্ত শেষ করার পরে আবার ব্যতিক্রম লগিং অক্ষম করুন।

LDAP সার্ভার প্রমাণীকরণের জন্য ব্যতিক্রম লগিং সক্ষম করতে:

1. একটি টেক্সট এডিটরে উপযুক্ত প্রমাণীকরণ কনফিগারেশন XML ফাইলটি খুলুন:
   
   ডিরেক্টরি সার্ভিসঅথেনটিকেশনকনফিগারেশন.এক্সএমএল , ওপেনএলডিএপিঅথেনটিকেশনকনফিগারেশন.এক্সএমএল , অথবা ওপেনএলডিএপিএসএসএলঅথেনটিকেশনকনফিগারেশন.এক্সএমএল
2. লাইন পরিবর্তন করুন:
   
   <ShowExceptions>false</ShowExceptions>
   থেকে
   <ShowExceptions>true</ShowExceptions>
   
3. পরিবর্তনগুলি সংরক্ষণ করুন।

এই পদক্ষেপগুলি অনুসরণ করুন:

1. সার্টিফিকেট এবং কী ফাইলগুলিকে একটি PKCS12 ফর্ম্যাট করা ফাইলে রূপান্তর করুন। একটি কমান্ড প্রম্পটে, নিম্নলিখিতটি লিখুন:
   
   আপনি যদি macOS বা Linux ব্যবহার করেন, তাহলে নিম্নলিখিত কমান্ডগুলি ব্যবহার করুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইল এনক্রিপ্ট করার জন্য একটি পাসওয়ার্ড লিখুন।
   

   আপনি যদি উইন্ডোজ ব্যবহার করেন, তাহলে নিম্নলিখিত কমান্ডগুলি ব্যবহার করুন:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   গুরুত্বপূর্ণ: দুটি ফাইল ( <CERT_FILE>.crt এবং <CERT_FILE>.key ) একই ডিরেক্টরিতে অবস্থিত হতে হবে। এছাড়াও, নিশ্চিত করুন যে key এবং crt উভয়েরই একই নাম আছে (একটি ভিন্ন এক্সটেনশন সহ)। এই উদাহরণে, আমরা ldap-client.crt এবং ldap-client.key নামগুলি ব্যবহার করি।

2. কন্ট্রোল প্যানেলে যান।
3. অনুসন্ধান বাক্সে, "certificate" অনুসন্ধান করুন এবং ব্যবহারকারীর সার্টিফিকেট পরিচালনা করুন এ ক্লিক করুন।
4. অ্যাকশন > সকল কাজ > আমদানি... এ যান।
5. বর্তমান ব্যবহারকারী নির্বাচন করুন, এবং পরবর্তী ক্লিক করুন।
6. ব্রাউজ করুন... এ ক্লিক করুন।
7. ডায়ালগ বক্সের নীচের ডান কোণে ফাইল টাইপ ড্রপডাউনে, ব্যক্তিগত তথ্য বিনিময় (*.pfx;*.p12) নির্বাচন করুন।
8. ধাপ ২ থেকে ldap-client.p12 ফাইলটি নির্বাচন করুন, Open এ ক্লিক করুন, এবং তারপর Next এ ক্লিক করুন।
9. ধাপ ২ থেকে পাসওয়ার্ডটি প্রবেশ করান এবং পরবর্তী ক্লিক করুন।
10. ব্যক্তিগত সার্টিফিকেট স্টোর নির্বাচন করুন, পরবর্তী ক্লিক করুন, এবং তারপর শেষ ক্লিক করুন।
11. Ldp.exe চালান।
12. সংযোগ > সংযোগ করুন... এ যান।
13. নিম্নলিখিত সংযোগের বিবরণ লিখুন:
    
    সার্ভার: ldap.google.com
    পোর্ট: ৬৩৬
    সংযোগহীন: চেক করা হয়নি
    SSL: চেক করা হয়েছে
    
14. ঠিক আছে ক্লিক করুন।
15. ভিউ > ট্রি- তে যান।
16. বেস DN লিখুন। এটি আপনার DN ফর্ম্যাটে ডোমেন নাম। (উদাহরণস্বরূপ, dc=example,dc=com example.com এর জন্য)।
17. ঠিক আছে ক্লিক করুন।
18. যদি সংযোগ সফল হয়, তাহলে LDP.exe ডান প্যানেলে অ্যাক্টিভ ডিরেক্টরি বিষয়বস্তু প্রদর্শন করবে—যেমন বেস DN-তে উপস্থিত সমস্ত বৈশিষ্ট্য—।

নেটগেট/পিএফসেন্সকে সিকিউর এলডিএপি পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, গুগল ক্লাউড আইডেন্টিটি কনফিগারিং অ্যাজ অ্যানুথেনটিকেশন সোর্স দেখুন।

কমান্ড লাইন থেকে আপনার LDAP ডিরেক্টরি অ্যাক্সেস করতে, আপনি OpenLDAP ldapsearch কমান্ড ব্যবহার করতে পারেন।

ধরে নিচ্ছি আপনার ক্লায়েন্ট সার্টিফিকেট এবং কী ফাইলগুলি হল ldap-client.crt এবং ldap-client.key , আপনার ডোমেইন হল example.com , এবং ব্যবহারকারীর নাম হল jsmith :

$ LDAPTLS_CERT=ldap-client.crt LDAPTLS_KEY=ldap-client.key ldapsearch -H ldaps://ldap.google.com -b dc=example,dc=com '(uid=jsmith)'

এটি প্রাসঙ্গিক পরিবেশ ভেরিয়েবলগুলিকে ক্লায়েন্ট কীগুলিতে নির্দেশ করার জন্য সেট করে। আপনি অন্যান্য ldapsearch বিকল্পগুলিকে আপনার পছন্দসই ফিল্টার, অনুরোধকৃত বৈশিষ্ট্য ইত্যাদি দিয়ে প্রতিস্থাপন করতে পারেন। অন্যান্য বিশদের জন্য, দয়া করে ldapsearch ম্যান পৃষ্ঠাগুলি ("man ldapsearch") দেখুন।

এই পদক্ষেপগুলি অনুসরণ করুন:

1. সার্টিফিকেট এবং কী ফাইলগুলিকে একটি PKCS12 ফর্ম্যাট করা ফাইলে রূপান্তর করুন। একটি কমান্ড প্রম্পটে, নিম্নলিখিতটি লিখুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইলটি এনক্রিপ্ট করতে আপনার পাসওয়ার্ড লিখুন।
   
2. ক্লিক করুন মেনু বারের উপরের ডানদিকের কোণায়, এবং Keychain Access টাইপ করুন।
3. কীচেইন অ্যাক্সেস অ্যাপ্লিকেশনটি খুলুন এবং বাম দিকের তালিকা থেকে, সিস্টেম ক্লিক করুন।
4. উপরের বাম দিকের মেনু বারে ফাইল বিকল্পে ক্লিক করুন এবং আইটেম আমদানি করুন নির্বাচন করুন।
5. তৈরি করা ldap-client.p12 দিয়ে অবস্থানটি ব্রাউজ করুন, ldap-client.p12 নির্বাচন করুন এবং Open এ ক্লিক করুন।
   যদি অনুরোধ করা হয়, আপনার পাসওয়ার্ড লিখুন।
   LDAP ক্লায়েন্ট নামের একটি সার্টিফিকেট এখন সিস্টেম কীচেইন সার্টিফিকেটের তালিকায় উপস্থিত হওয়া উচিত।
6. LDAP ক্লায়েন্ট সার্টিফিকেটের পাশের তীরটিতে ক্লিক করুন। তার নিচে একটি প্রাইভেট কী প্রদর্শিত হবে।
   1. প্রাইভেট কী-তে ডাবল ক্লিক করুন।
   2. ডায়ালগ বক্স থেকে, অ্যাক্সেস কন্ট্রোল ট্যাবটি নির্বাচন করুন এবং নীচের-বাম কোণে + ক্লিক করুন।

   3. যে উইন্ডোটি খোলে, সেখান থেকে Command+Shift+G টাইপ করে একটি নতুন উইন্ডো খুলুন, এবং তারপর বিদ্যমান টেক্সটটি /usr/bin/ldapsearch দিয়ে প্রতিস্থাপন করুন।

   4. সি লেক যাও ।
      
      এটি ldapsearch হাইলাইট করা একটি উইন্ডো খুলবে।

   5. যোগ করুন ক্লিক করুন।

   6. পরিবর্তনগুলি সংরক্ষণ করুন এ ক্লিক করুন, এবং অনুরোধ করা হলে আপনার পাসওয়ার্ড লিখুন।
      
      আপনি এখন OpenLDAP ldapsearch কমান্ড ব্যবহার করে কমান্ড লাইন থেকে আপনার LDAP ডিরেক্টরি অ্যাক্সেস করতে প্রস্তুত।

7. ধরে নিচ্ছি যে ldap-client.p12 ফাইলটি আপনি আগে কীচেইনে আমদানি করেছিলেন তার নাম LDAP Client , আপনার ডোমেইন হল example.com , এবং ব্যবহারকারীর নাম হল jsmith , নিম্নলিখিতটি লিখুন:
   
   $ LDAPTLS_IDENTITY="LDAP Client" ldapsearch -H ldaps://ldap.google.com:636 -b dc=example,dc=com '(uid=jsmith)'

এটি প্রাসঙ্গিক পরিবেশ ভেরিয়েবলগুলিকে আমদানি করা ক্লায়েন্ট সার্টিফিকেটের দিকে নির্দেশ করার জন্য সেট করে। আপনি অন্যান্য ldapsearch বিকল্পগুলিকে আপনার পছন্দসই ফিল্টার, অনুরোধকৃত বৈশিষ্ট্য ইত্যাদি দিয়ে প্রতিস্থাপন করতে পারেন। আরও বিস্তারিত জানার জন্য, দয়া করে ldapsearch ম্যান পৃষ্ঠাগুলি ( man ldapsearch ) দেখুন।

এই পদক্ষেপগুলি অনুসরণ করুন:

1. প্রয়োজনে, OpenVPN ইনস্টল এবং কনফিগার করুন, অথবা যদি আপনি ইতিমধ্যেই এটি করে থাকেন, তাহলে OpenVPN-এ সেটিংস পৃষ্ঠাটি খুলুন।
   
   সাধারণ VPN কনফিগারেশন এই সহায়তা নিবন্ধের আওতার বাইরে। একবার VPN কনফিগার হয়ে গেলে, আপনি LDAP এর মাধ্যমে ব্যবহারকারীর প্রমাণীকরণ এবং অনুমোদন যোগ করতে পারেন। বিশেষ করে, আপনাকে openvpn-auth-ldap প্লাগইন ইনস্টল করতে হবে।
   
   $ sudo apt-get install openvpn openvpn-auth-ldap
   
2. LDAP ক্লায়েন্ট কী এবং সার্টিফিকেট ফাইলগুলি /etc/openvpn/ldap-client.key এবং /etc/openvpn/ldap-client.crt ফাইলে কপি করুন।
3. /etc/openvpn/auth-ldap.conf নামে একটি ফাইল তৈরি করুন, যাতে নিম্নলিখিতগুলি থাকবে (ধরে নিচ্ছি যে example.com হল ডোমেন নাম):
   
   <LDAP>
URL ldaps://ldap.google.com:636 #
Timeout 15
TLSEnable false
TLSCACertDir /etc/ssl/certs
TLSCertFile /etc/openvpn/ldap-client.crt
TLSKeyFile /etc/openvpn/ldap-client.key
</LDAP>
<Authorization>
BaseDN "dc=example,dc=com"
SearchFilter "(uid=%u)" # (or choose your own LDAP filter for users)
RequireGroup false
</Authorization>
   
4. OpenVPN কনফিগারেশন ফাইলটি সম্পাদনা করুন, যা প্রায়শই /etc/openvpn/server.conf নামে পরিচিত, অথবা অনুরূপ। ফাইলের নীচে, নিম্নলিখিতটি যোগ করুন:
   
   plugin /usr/lib/openvpn/openvpn-auth-ldap.so /etc/openvpn/auth-ldap.conf
verify-client-cert optional
   
5. OpenVPN সার্ভারটি পুনরায় চালু করুন।
   
   $ sudo systemctl restart openvpn@server
   
6. ব্যবহারকারীর ব্যবহারকারীর নাম এবং পাসওয়ার্ড ব্যবহার করার জন্য VPN ক্লায়েন্টগুলিকে কনফিগার করুন। উদাহরণস্বরূপ, একটি OpenVPN ক্লায়েন্ট কনফিগারেশনে, OpenVPN ক্লায়েন্ট কনফিগারেশন ফাইলের শেষে auth-user-pass যোগ করুন এবং OpenVPN ক্লায়েন্ট শুরু করুন:
   
   $ openvpn --config /path/to/client.conf
   
7. প্রক্সি হিসেবে স্টানেল ব্যবহারের নির্দেশাবলী অনুসরণ করুন।

OpenVPN অ্যাক্সেস সার্ভারকে সিকিউর LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, OpenVPN অ্যাক্সেস সার্ভারের সাথে Google সিকিউর LDAP কনফিগার করা দেখুন।

পেপারকাটকে সিকিউর এলডিএপি পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, পেপারকাটে গুগল ওয়ার্কস্পেস এবং গুগল ক্লাউড আইডেন্টিটি ব্যবহারকারীদের কীভাবে সিঙ্ক এবং প্রমাণীকরণ করবেন তা দেখুন।

পাপেট এন্টারপ্রাইজকে সিকিউর LDAP পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, PE এর জন্য Google ক্লাউড ডিরেক্টরি দেখুন।

গুরুত্বপূর্ণ: শুরু করার আগে, নিশ্চিত করুন যে আপনি Softerra LDAP ব্রাউজারটি 4.5 (4.5.19808.0) বা তার পরবর্তী সংস্করণ সহ ইনস্টল করেছেন। LDAP ব্রাউজার 4.5 দেখুন।

এই পদক্ষেপগুলি অনুসরণ করুন:

1. সার্টিফিকেট এবং কী ফাইলগুলিকে একটি PKCS12 ফর্ম্যাট করা ফাইলে রূপান্তর করুন। একটি কমান্ড প্রম্পটে, নিম্নলিখিতটি লিখুন:
   
   আপনি যদি macOS বা Linux ব্যবহার করেন, তাহলে নিম্নলিখিত কমান্ডগুলি ব্যবহার করুন:
   
   openssl pkcs12 -inkey ldap-client.key -in ldap-client.crt -export -out ldap-client.p12
   
   আউটপুট ফাইল এনক্রিপ্ট করার জন্য একটি পাসওয়ার্ড লিখুন।
   

   আপনি যদি উইন্ডোজ ব্যবহার করেন, তাহলে নিম্নলিখিত কমান্ডগুলি ব্যবহার করুন:

   $ certutil -mergepfx ldap-client.crt ldap-client.p12
   
   গুরুত্বপূর্ণ: দুটি ফাইল ( <CERT_FILE>.crt এবং <CERT_FILE>.key ) একই ডিরেক্টরিতে অবস্থিত হতে হবে। এছাড়াও, নিশ্চিত করুন যে key এবং crt উভয়েরই একই নাম আছে (একটি ভিন্ন এক্সটেনশন সহ)। এই উদাহরণে, আমরা ldap-client.crt এবং ldap-client.key নামগুলি ব্যবহার করি।

2. Softerra LDAP ব্রাউজারে, কী জোড়াটি ইনস্টল করুন।
   1. টুলস > সার্টিফিকেট ম্যানেজার এ যান।
   2. আমদানি করুন... এ ক্লিক করুন।
   3. পরবর্তী ক্লিক করুন।
   4. ব্রাউজ করুন... এ ক্লিক করুন।
   5. ডায়ালগ বক্সের নীচের ডান কোণে ফাইল টাইপ ড্রপ-ডাউন তালিকায়, ব্যক্তিগত তথ্য বিনিময় (*.pfx;*.p12) নির্বাচন করুন।
   6. উপরের ধাপ ২ থেকে ldap-client.p12 ফাইলটি নির্বাচন করুন।
   7. খুলুন ক্লিক করুন এবং তারপর পরবর্তী ক্লিক করুন।
   8. উপরের ধাপ ২ থেকে পাসওয়ার্ডটি লিখুন এবং পরবর্তী ক্লিক করুন।
   9. ব্যক্তিগত সার্টিফিকেট স্টোর নির্বাচন করুন।
   10. পরবর্তী ক্লিক করুন।
   11. Finish এ ক্লিক করুন।
3. একটি সার্ভার প্রোফাইল যোগ করুন।
   1. ফাইল > নতুন > নতুন প্রোফাইলে যান...
   2. প্রোফাইলের জন্য একটি নাম লিখুন, যেমন Google LDAP ।
   3. পরবর্তী ক্লিক করুন।
      
      নিম্নলিখিতটি লিখুন:
      
      হোস্ট: ldap.google.com
      পোর্ট: ৬৩৬
      বেস ডিএন: আপনার ডোমেন নাম ডিএন ফর্ম্যাটে। (যেমন, dc=example, dc=com example.com)
      নিরাপদ সংযোগ (SSL) ব্যবহার করুন: চেক করা হয়েছে
      
   4. পরবর্তী ক্লিক করুন।
   5. এক্সটার্নাল (SSL সার্টিফিকেট) নির্বাচন করুন।
   6. পরবর্তী ক্লিক করুন।
   7. Finish এ ক্লিক করুন।

সোফোস মোবাইলকে সিকিউর এলডিএপি পরিষেবার সাথে সংযুক্ত করার নির্দেশাবলীর জন্য, সিকিউর এলডিএপি ব্যবহার করে সোফোস মোবাইলকে গুগল ক্লাউড আইডেন্টিটি / গুগল ক্লাউড ডিরেক্টরিতে সংযুক্ত করা দেখুন।

Splunk-কে Secure LDAP পরিষেবার সাথে সংযুক্ত করার সময়, Splunk সংস্করণ 8.1.4 বা তার পরবর্তী সংস্করণ ব্যবহার করতে ভুলবেন না। Splunk সংস্করণ 8.1.3-এর মতো পুরোনো Splunk সংস্করণ ব্যবহার করার সময়, অতিরিক্ত LDAP কোয়েরি LDAP সার্ভারে পাঠানো হতে পারে, যার ফলে আপনার LDAP কোটা দ্রুত শেষ হয়ে যেতে পারে। Splunk সংস্করণ 8.1.3 সমস্যা সম্পর্কে আরও তথ্যের জন্য, Splunk-এর পরিচিত সমস্যাগুলি দেখুন।

এই পদক্ষেপগুলি অনুসরণ করুন:

1. LDAP ক্লায়েন্ট কী এবং সার্টিফিকেট ফাইলগুলি /home/splunk/splunkadmin/etc/openldap/certs/ldap-client.key এবং /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt এ অনুলিপি করুন।
   
   $ cat /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.crt /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.key > /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem

$ sudo chown $(splunkuser):$(splunkuser) /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*

$ sudo chmod 644 /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.*
   
2. নিম্নলিখিত কনফিগারেশনগুলি যোগ করতে ldap.conf ফাইলটি সম্পাদনা করুন:

   ssl start_tls
TLS_REQCERT never
TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap.pem

3. ব্যবহারকারীর /home/splunkadmin/.ldaprc ফাইলে নিম্নলিখিত কনফিগারেশনগুলি যোগ করুন:
   
   TLS_CERT /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
TLS_KEY /home/splunkadmin/splunk/etc/openldap/certs/ldap-client.pem
   
4. Splunk ওয়েব UI ব্যবহার করে LDAP কৌশল যোগ করুন। নিম্নলিখিত বিবরণ লিখুন, এবং তারপর সংরক্ষণ করুন ক্লিক করুন:
   

ব্যবহারকারী প্রমাণীকরণের সময় ব্যবহারকারী সম্পর্কে আরও তথ্য পেতে SSSD একটি ব্যবহারকারীর অনুসন্ধান করে। এই LDAP ক্লায়েন্টের জন্য ব্যবহারকারীর প্রমাণীকরণ সঠিকভাবে কাজ করে তা নিশ্চিত করার জন্য, যেখানে ব্যবহারকারীর শংসাপত্র যাচাই করা আছে সেখানে আপনাকে সমস্ত সাংগঠনিক ইউনিটের জন্য ব্যবহারকারীর তথ্য পড়ুন এবং গ্রুপ তথ্য পড়ুন চালু করতে হবে। (নির্দেশাবলীর জন্য, অ্যাক্সেস অনুমতি কনফিগার করুন দেখুন।)

Red Hat 8 অথবা CentOS 8-এ একটি SSSD ক্লায়েন্টকে Secure LDAP পরিষেবার সাথে সংযুক্ত করতে:

1. সিকিউর LDAP পরিষেবাতে SSSD ক্লায়েন্ট যোগ করুন:
   1. গুগল অ্যাডমিন কনসোল থেকে, অ্যাপস > LDAP > ADD CLIENT এ যান।
      আপনার ব্যক্তিগত জিমেইল অ্যাকাউন্ট দিয়ে নয়, আপনার কর্পোরেট অ্যাকাউন্ট দিয়ে সাইন ইন করতে ভুলবেন না।
   2. ক্লায়েন্টের বিবরণ লিখুন, এবং চালিয়ে যান ক্লিক করুন।
   3. অ্যাক্সেস অনুমতিগুলি কনফিগার করুন:
      ব্যবহারকারীর শংসাপত্র যাচাই করুন—সম্পূর্ণ ডোমেন
      ব্যবহারকারীর তথ্য পড়ুন—সম্পূর্ণ ডোমেন
      গ্রুপের তথ্য পড়ুন— চালু
   4. LDAP ক্লায়েন্ট যোগ করুন এ ক্লিক করুন।
   5. তৈরি করা সার্টিফিকেটটি ডাউনলোড করুন।
   6. ক্লায়েন্টের বিবরণে চালিয়ে যান ক্লিক করুন।
   7. পরিষেবার স্থিতি ON তে পরিবর্তন করুন।
2. নির্ভরতা ইনস্টল করুন:
   
   dnf install openldap-clients sssd-ldap
install -d --mode=700 --owner=sssd --group=root /etc/sssd/ldap
   
   সার্টিফিকেট .zip ফাইলটি আনজিপ করুন এবং .crt এবং .key ফাইলগুলি /etc/sssd/ldap এ কপি করুন।
   
3. (ঐচ্ছিক) ldapsearch দিয়ে পরীক্ষা করুন:

   LDAPTLS_REQCERT=never \
LDAPTLS_KEY=Google.key \
LDAPTLS_CERT=Google.crt \
ldapsearch -H ldaps://ldap.google.com:636/ \
-b dc=example,dc=com \
-D usertoverify@example.com \
-W \
'(mail=usertoverify@example.com)' \
mail dn
   
   অনুরোধ করা হলে ব্যবহারকারীর গুগল পাসওয়ার্ড লিখুন।
   
   দ্রষ্টব্য: ব্যবহারকারীর অবশ্যই তাদের জন্য নির্ধারিত একটি Google Workspace Enterprise বা Cloud Identity Premium লাইসেন্স থাকতে হবে।

4. নিম্নলিখিত বিষয়বস্তু সহ /etc/sssd/sssd.conf ফাইলটি তৈরি করুন:
   

   [sssd]
services = nss, pam
domains = example.com

   [domain/example.com]
ldap_tls_cert = /etc/sssd/ldap/Google.crt
ldap_tls_key = /etc/sssd/ldap/Google.key
ldap_tls_reqcert = never
ldap_uri = ldaps://ldap.google.com
ldap_search_base = dc=example,dc=com
id_provider = ldap
auth_provider = ldap
ldap_schema = rfc2307bis
ldap_user_uuid = entryUUID

5. অনুমতি এবং SELinux লেবেল আপডেট করুন:
   
   chown 0:0 /etc/sssd/sssd.conf /etc/sssd/ldap/*
chmod 600 /etc/sssd/sssd.conf /etc/sssd/ldap/*
restorecon -FRv /etc/sssd
   
6. SSSD পুনরায় চালু করুন:
   
   systemctl restart sssd
   
7. পরীক্ষা:
   
   সার্ভারে ssh:

   ssh -l user@example.com {HOSTNAME}

সমস্যা সমাধান

1. SSSD সংস্করণটি পরীক্ষা করুন (১.১৫.২ এর চেয়ে বড় বা সমান হতে হবে):
   
   # sssd --version
2.2.3
   

2. RHEL/CentOS (অথবা SELinux এনফোর্সমেন্ট সহ যেকোনো ডিস্ট্রো) তে, SSSD কনফিগারেশন ফাইল এবং সার্টিফিকেট ফাইল এবং কী অবশ্যই sssd_conf_t ভূমিকা দ্বারা অ্যাক্সেসযোগ্য একটি ডিরেক্টরিতে থাকতে হবে:

   # egrep "object_r:sssd_conf_t" /etc/selinux/targeted/contexts/files/file_contexts

   AVC ডিনাই মেসেজের জন্য /var/log/audit/audit.log চেক করুন।
   

3. /etc/nsswitch.conf-এ passwd, shadow, group, এবং netgroup সত্তার জন্য "sss" আছে কিনা তা পরীক্ষা করুন:
   
   passwd: files sss
shadow: files sss
group: files sss
netgroup: files sss
   
   এখানে, স্থানীয় ফাইলগুলি LDAP ব্যবহারকারীদের ওভাররাইড করবে।
   
4. কনফিগারেশন ত্রুটির জন্য /var/log/sssd.conf পরীক্ষা করুন:
   

   উদাহরণ:
   [sssd] [sss_ini_add_snippets] (0x0020): কনফিগার মার্জ ত্রুটি: /etc/sssd/sssd.conf ফাইল অ্যাক্সেস পরীক্ষায় উত্তীর্ণ হয়নি। এড়িয়ে যাওয়া হচ্ছে।

   ক্রিয়া: আপনাকে .conf ফাইলটি chmod 600 করতে হবে।

   উদাহরণ:
   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: 'domain/{DOMAIN}' বিভাগে 'ldap_groups_use_matching_rule_in_chain' অ্যাট্রিবিউট অনুমোদিত নয়। টাইপিং ভুল আছে কিনা তা পরীক্ষা করুন।

   [sssd] [sss_ini_call_validators] (0x0020): [rule/allowed_domain_options]: 'domain/{DOMAIN}' বিভাগে 'ldap_initgroups_use_matching_rule_in_chain' অ্যাট্রিবিউট অনুমোদিত নয়। টাইপিং ভুল আছে কিনা তা পরীক্ষা করুন।

   পদক্ষেপ: sssd.conf থেকে অসমর্থিত গ্রুপ ম্যাচ LDAP এক্সটেনশনগুলি সরান।

5. LDAP/network/auth ত্রুটির জন্য /var/log/sssd_{DOMAIN}.log পরীক্ষা করুন।
   
   উদাহরণ:

   [sssd[be[example.com]]] [sss_ldap_init_sys_connect_done] (0x0020): ldap_install_tls ব্যর্থ হয়েছে: [সংযোগ ত্রুটি] [ত্রুটি:1416F086:SSL রুটিন:tls_process_server_certificate:certificate যাচাই ব্যর্থ হয়েছে (স্ব-স্বাক্ষরিত শংসাপত্র)]

   ক্রিয়া: আপনাকে sssd.conf-এ "ldap_tls_reqcert = never" যোগ করতে হবে।

   ত্রুটির শব্দভাণ্ডার বাড়ানোর জন্য, ডোমেন বিভাগের অধীনে sssd.conf-এ "debug_level = 9" যোগ করুন এবং sssd পুনরায় চালু করুন।

ব্যবহারকারী প্রমাণীকরণের সময় ব্যবহারকারী সম্পর্কে আরও তথ্য পেতে SSSD একটি ব্যবহারকারীর অনুসন্ধান করে। এই LDAP ক্লায়েন্টের জন্য ব্যবহারকারীর প্রমাণীকরণ সঠিকভাবে কাজ করে তা নিশ্চিত করার জন্য, যেখানে ব্যবহারকারীর শংসাপত্র যাচাই করা আছে সেখানে আপনাকে সমস্ত সাংগঠনিক ইউনিটের জন্য ব্যবহারকারীর তথ্য পড়ুন এবং গ্রুপ তথ্য পড়ুন চালু করতে হবে। (নির্দেশাবলীর জন্য, অ্যাক্সেস অনুমতি কনফিগার করুন দেখুন।)

একটি SSSD ক্লায়েন্টকে সিকিউর LDAP পরিষেবার সাথে সংযুক্ত করতে:

1. SSSD সংস্করণ >= 1.15.2 ইনস্টল করুন।
   
   $ sudo apt-get install sssd
   
2. ধরে নিচ্ছি যে আপনার ক্লায়েন্ট সার্টিফিকেট এবং কী ফাইলগুলির নাম /var/ldap-client.crt এবং /var/ldap-client.key এবং আপনার ডোমেনটি example.com , তাহলে /etc/sssd/sssd.conf একটি কনফিগারেশন দিয়ে সম্পাদনা করুন যেমন:

   
   [এসএসএসডি]
   পরিষেবা = এনএসএস, প্যাম
   ডোমেইন = example.com

   [ডোমেইন/ example.com ]
   ldap_tls_cert = /var/ldap-client.crt
   ldap_tls_key = /var/ldap-client.key
   ldap_uri = ldaps://ldap.google.com
   ldap_search_base = ডিসি=উদাহরণ,ডিসি=কম
   আইডি_প্রোভাইডার = এলডিএপি
   প্রমাণীকরণ_প্রদানকারী = ldap
   ldap_schema = rfc2307bis
   ldap_user_uuid = এন্ট্রিUUID
   ldap_groups_use_matching_rule_in_chain = সত্য
   ldap_initgroups_use_matching_rule_in_chain = সত্য
   

3. কনফিগ ফাইলের মালিকানা এবং অনুমতি পরিবর্তন করুন:
   
   $ sudo chown root:root /etc/sssd/sssd.conf
$ sudo chmod 600 /etc/sssd/sssd.conf

4. SSSD পুনরায় চালু করুন:
   
   $ sudo service sssd restart

টিপস: যদি আপনি Google Compute Engine-এ বহিরাগত IP ঠিকানা ছাড়াই Linux কম্পিউটারে SSSD মডিউল ব্যবহার করেন, তাহলেও যতক্ষণ পর্যন্ত আপনার Google পরিষেবাগুলিতে অভ্যন্তরীণ অ্যাক্সেস সক্ষম থাকে ততক্ষণ আপনি Secure LDAP পরিষেবার সাথে সংযোগ করতে পারবেন। বিস্তারিত জানার জন্য, "প্রাইভেট Google অ্যাক্সেস কনফিগার করা" দেখুন।

সিকিউর LDAP পরিষেবা ব্যবহার করে ব্যবহারকারীর অ্যাকাউন্ট প্রমাণীকরণের জন্য macOS ক্লায়েন্টকে সংযুক্ত করতে নীচের পদক্ষেপগুলি অনুসরণ করুন।

সিস্টেমের জন্য আবশ্যক

• macOS অবশ্যই Catalina সংস্করণ 10.15.4 বা তার পরবর্তী সংস্করণ হতে হবে।
• প্রস্তুতি পর্বের ১ম ধাপ সম্পন্ন করার জন্য একটি গুগল সুপার অ্যাডমিন ইউজার আইডি প্রয়োজন।
• এই কনফিগারেশনটি সম্পাদন করার জন্য আপনার স্থানীয় প্রশাসকের অনুমতি প্রয়োজন।

সূচিপত্র:

• প্রস্তুতি পর্ব
• স্থাপনার পর্যায়
• সীমাবদ্ধতা এবং নির্দেশিকা
• সমস্যা সমাধান

প্রস্তুতি পর্ব

এই বিভাগের নির্দেশাবলী সিকিউর LDAP পরিষেবা ব্যবহার করে ম্যাকওএস প্রমাণীকরণ কীভাবে ম্যানুয়ালি সেট আপ এবং পরীক্ষা করতে হয় তার উপর আলোকপাত করে।

ধাপ ১: গুগল অ্যাডমিন কনসোলে LDAP ক্লায়েন্ট হিসেবে MacOS-এ প্রবেশ করুন

নির্দেশাবলীর জন্য, LDAP ক্লায়েন্ট যোগ করুন দেখুন, অথবা এই সিকিউর LDAP ডেমোটি দেখুন। এই প্রক্রিয়া চলাকালীন আপনি একটি স্বয়ংক্রিয়ভাবে তৈরি TLS ক্লায়েন্ট সার্টিফিকেটও ডাউনলোড করবেন।

ধাপ ২: সিস্টেম কীচেইনে সার্টিফিকেটটি আমদানি করুন

1. সার্টিফিকেট (ধাপ ১ এ ডাউনলোড করা জিপ ফাইল) এবং ম্যাকওএস মেশিনের কী কপি করুন।
   টিপস: সার্টিফিকেট এবং কী ফাইলগুলি খুঁজে পেতে ফাইলটি আনজিপ করুন।
2. সিস্টেম কীচেইনে কী জোড়া আমদানি করুন:

   1. কী এবং সার্টিফিকেটকে একটি PKCS 12 (p12) ফাইলে রূপান্তর করুন। টার্মিনালে নিম্নলিখিত কমান্ডটি চালান:
      
      openssl pkcs12 -export -out ldap-client.p12 -in ldap-client.crt -inkey ldap-client.key
      
      টিপস: .p12 ফাইলের নাম লিখুন।
      
      সিস্টেমটি আপনাকে একটি পাসওয়ার্ড লিখতে বলবে। p12 ফাইলটি এনক্রিপ্ট করার জন্য একটি পাসওয়ার্ড লিখুন।

   2. কীচেইন অ্যাক্সেস অ্যাপ্লিকেশনটি খুলুন।

   3. সিস্টেম কীচেইনে ক্লিক করুন।

   4. ফাইল > আইটেম আমদানি করুন ক্লিক করুন।

   5. উপরে তৈরি ldap-client.p12 ফাইলটি নির্বাচন করুন।

   6. যদি অনুরোধ করা হয়, তাহলে সিস্টেম কীচেইন পরিবর্তন করার জন্য অ্যাডমিন পাসওয়ার্ড লিখুন।

   7. .p12 ফাইলটি ডিক্রিপ্ট করতে উপরে আপনার তৈরি করা পাসওয়ার্ডটি লিখুন।

      দ্রষ্টব্য: কীগুলির তালিকায় একটি নতুন সার্টিফিকেট এবং সংশ্লিষ্ট প্রাইভেট কী প্রদর্শিত হবে বলে আশা করুন। এটিকে LDAP ক্লায়েন্ট বলা যেতে পারে। পরবর্তী ধাপের জন্য নীচে সার্টিফিকেটের নাম লিখুন।
      
   8. এই প্রবন্ধে ldapsearch (macOS) বিভাগের ধাপ ৬ অনুসরণ করে নিচে উল্লেখিত অ্যাপ যোগ করার জন্য প্রাইভেট কী-এর জন্য অ্যাক্সেস কন্ট্রোল সেট আপ করুন। যদি All Items বিভাগের অধীনে প্রাইভেট কীটি দেখা না যায়, তাহলে My Certificates বিভাগে স্যুইচ করার চেষ্টা করুন এবং সংশ্লিষ্ট সার্টিফিকেটটি প্রসারিত করে সঠিক প্রাইভেট কী এন্ট্রিটি সনাক্ত করুন।
      
      নির্দেশাবলীতে উল্লেখিত ldapsearch অ্যাপটি কেবলমাত্র সমস্যা সমাধানের প্রয়োজন হলেই প্রাসঙ্গিক, অন্য কোনও উদ্দেশ্যে নয়। ব্যবহারকারীদের macOS-এ অ্যাক্সেস দেওয়ার আগে এটি সাধারণত সরিয়ে ফেলা হয়।
      
      অ্যাক্সেস কন্ট্রোল তালিকায় নিম্নলিখিত তিনটি অ্যাপ যোগ করতে হবে:
      
      /System/Library/CoreServices/Applications/Directory Utility
/usr/libexec/opendirectoryd
/usr/bin/dscl

3. /etc/openldap/ldap.conf ফাইলে একটি লাইন যোগ করুন, নিশ্চিত করুন যে "LDAP ক্লায়েন্ট" ঠিক একই সার্টিফিকেট নাম যা .p12 ফাইলটি আমদানি করার পরে macOS Keychain Access অ্যাপ্লিকেশনে দেখানো হয়েছে (নামটি জেনারেট করা সার্টিফিকেটের X.509 Subject Common Name থেকে এসেছে):
   
   sudo bash -c 'echo -e "TLS_IDENTITY\tLDAP Client" >> /etc/openldap/ldap.conf'

ধাপ ৩: প্রমাণীকরণের জন্য ডিভাইসটিকে Google ডিরেক্টরিতে নির্দেশ করুন।

একটি নতুন LDAP ডিরেক্টরি নোড তৈরি করতে ডিরেক্টরি ইউটিলিটি অ্যাপ্লিকেশনটি খুলুন:

1. পরিবর্তন করতে এবং আপনার পাসওয়ার্ড লিখতে লকটিতে ক্লিক করুন।
2. LDAPv3 নির্বাচন করুন এবং সেটিংস সম্পাদনা করতে পেন্সিল আইকনে ক্লিক করুন।
3. নতুন ক্লিক করুন...
4. সার্ভার নামের জন্য, ldap.google.com লিখুন, SSL ব্যবহার করে Encrypt নির্বাচন করুন এবং Manual এ ক্লিক করুন।
5. নতুন সার্ভারের নাম নির্বাচন করুন এবং সম্পাদনা করুন... এ ক্লিক করুন।
6. কনফিগারেশন নামের জন্য একটি বর্ণনামূলক নাম লিখুন যেমন Google Secure LDAP ।
7. SSL ব্যবহার করে Encrypt নির্বাচন করুন এবং নিশ্চিত করুন যে পোর্টটি 636 এ সেট করা আছে।
8. অনুসন্ধান এবং ম্যাপিং ট্যাবে যান।
   1. "Access this LDAPv3 server using dropdown list" থেকে RFC2307 নির্বাচন করুন।
   2. অনুরোধ করা হলে, সার্চ বেস সাফিক্সে ডোমেন-সম্পর্কিত তথ্য লিখুন। উদাহরণস্বরূপ, zomato.com এর একটি ডোমেন নামের জন্য dc=zomato,dc=com লিখুন।
   3. ঠিক আছে ক্লিক করুন।
   4. ব্যবহারকারী রেকর্ড প্রকারের অধীনে বৈশিষ্ট্যগুলি কনফিগার করুন:
      1. রেকর্ড টাইপস এবং অ্যাট্রিবিউটস বিভাগে, ব্যবহারকারী নির্বাচন করুন এবং " + " বোতামে ক্লিক করুন।
      2. পপআপ উইন্ডোতে, অ্যাট্রিবিউট টাইপস নির্বাচন করুন, GeneratedUID নির্বাচন করুন, এবং তারপর পপআপ উইন্ডোটি বন্ধ করতে OK ক্লিক করুন।
         
         GeneratedUID সম্প্রসারণের পর Users এর অধীনে প্রদর্শিত হবে।
         
      3. GeneratedUID-তে ক্লিক করুন, এবং ডানদিকের বাক্সে " + " আইকনে ক্লিক করুন।
      4. টেক্সট বক্সে apple-generateduid লিখুন এবং Enter এ ক্লিক করুন।
      5. Users node এর অধীনে, NFSHomeDirectory অ্যাট্রিবিউটে ক্লিক করুন।
      6. ডানদিকের স্ক্রিনে, এই বৈশিষ্ট্যের মান #/Users/$uid$ এ আপডেট করুন।
      7. ঠিক আছে ক্লিক করুন এবং পরিবর্তনগুলি সংরক্ষণ করতে আপনার পাসওয়ার্ড লিখুন।
9. ডিরেক্টরি ইউটিলিটি উইন্ডো থেকে, নতুন LDAP কনফিগারেশনটি কনফিগার করুন:
   1. অনুসন্ধান নীতি ট্যাবে যান।
   2. পরিবর্তনগুলি করতে লক আইকনে ক্লিক করুন এবং অনুরোধ করা হলে বর্তমান ব্যবহারকারীর পাসওয়ার্ড লিখুন।
   3. ড্রপডাউন বিকল্পটি Search Path থেকে Custom path এ পরিবর্তন করুন।
   4. প্রমাণীকরণ ট্যাবটি খুলুন এবং " + " আইকনে ক্লিক করুন।
   5. ডিরেক্টরি ডোমেইন তালিকা থেকে /LDAPv3/ldap.google.com বেছে নিন, এবং তারপর Add এ ক্লিক করুন।
   6. প্রয়োগ করুন বোতামে ক্লিক করুন, এবং অনুরোধ করা হলে আপনার অ্যাডমিন পাসওয়ার্ড লিখুন।
10. DIGEST-MD5, CRAM-MD5, NTLM, এবং GSSAPI SASL প্রমাণীকরণ প্রক্রিয়া নিষ্ক্রিয় করতে নিম্নলিখিত চারটি কমান্ড চালান। macOS Google Secure LDAP পরিষেবা ব্যবহার করে প্রমাণীকরণের জন্য Simple Bind ব্যবহার করবে:
    
    sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string DIGEST-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string CRAM-MD5" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string NTLM" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist

sudo /usr/libexec/PlistBuddy -c "add ':module options:ldap:Denied SASL Methods:' string GSSAPI" /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist
    
11. OpenDirectory কনফিগারেশন পুনরায় লোড করতে রিবুট করুন।

ধাপ ৪: একটি মোবাইল অ্যাকাউন্ট তৈরি করুন (অফলাইনে লগইন করার অনুমতি দেয়)

যেকোনো Google Workspace বা Cloud Identity ব্যবহারকারী তাদের ব্যবহারকারীর নাম এবং পাসওয়ার্ড ব্যবহার করে একটি নেটওয়ার্ক অ্যাকাউন্ট (Google অ্যাকাউন্ট) ব্যবহার করে লগ ইন করতে পারেন। এই লগইন প্রক্রিয়ার জন্য নেটওয়ার্ক সংযোগ প্রয়োজন। যদি কোনও ব্যবহারকারীর নেটওয়ার্ক সংযোগ সহ বা ছাড়াই লগ ইন করার প্রয়োজন হয়, তাহলে একটি মোবাইল অ্যাকাউন্ট তৈরি করা যেতে পারে। একটি মোবাইল অ্যাকাউন্ট আপনাকে আপনার নেটওয়ার্ক অ্যাকাউন্ট (Google অ্যাকাউন্ট) ব্যবহারকারীর নাম এবং পাসওয়ার্ড ব্যবহার করে সাইন ইন করতে দেয়, আপনি নেটওয়ার্কের সাথে সংযুক্ত থাকুন বা না থাকুন। আরও বিস্তারিত জানার জন্য, Mac-এ মোবাইল অ্যাকাউন্ট তৈরি এবং কনফিগার করুন দেখুন।

সিকিউর LDAP ব্যবহারকারীদের জন্য একটি মোবাইল অ্যাকাউন্ট তৈরি করতে:

1. সিকিউর LDAP সার্ভারের সাথে সংযোগ স্থাপন করতে এবং একটি হোম পাথ এবং মোবাইল অ্যাকাউন্ট(গুলি) সেট আপ করতে নিম্নলিখিত কমান্ডটি চালান:
   
   sudo /System/Library/CoreServices/ManagedClient.app/Contents/Resources/createmobileaccount -n $uid -v
   
   পরামর্শ: ব্যবহারকারীর গুগল অ্যাকাউন্টের সাথে সম্পর্কিত ইমেল ঠিকানার ব্যবহারকারীর নাম অংশটি $uid দিয়ে প্রতিস্থাপন করুন। উদাহরণস্বরূপ, jsmith হল jsmith@solarmora.com এর ব্যবহারকারীর নাম অংশ।

2. যখন SecureToken অ্যাডমিন ব্যবহারকারীর নাম জিজ্ঞাসা করা হবে, তখন আপনার অ্যাডমিন ব্যবহারকারীর নাম লিখুন এবং পরবর্তী প্রম্পটে আপনার পাসওয়ার্ড লিখুন। এটি FileVault-এ $uid যোগ করবে। যদি macOS ডিস্ক এনক্রিপ্ট করা থাকে তবে এটি প্রয়োজন।

ধাপ ৫: (ঐচ্ছিক) লগইন স্ক্রিন পছন্দ সেট করুন

1. নীচে বাম দিকে সিস্টেম পছন্দ > ব্যবহারকারী ও গোষ্ঠী > লগইন বিকল্পগুলিতে যান।
2. অ্যাডমিন শংসাপত্র প্রদান করে লকটি আনলক করুন।
3. ডিসপ্লে লগইন উইন্ডোটি "নাম এবং পাসওয়ার্ড" হিসেবে পরিবর্তন করুন।

ধাপ ৬: রিবুট করুন এবং আপনার ডিভাইসে লগ ইন করুন

1. নিশ্চিত করুন যে ডিভাইসটি ইন্টারনেটের সাথে সংযুক্ত আছে। যদি আপনার ইন্টারনেট সংযোগ না থাকে, তাহলে সিকিউর LDAP ব্যবহারকারীর লগইন কাজ করবে না।
   দ্রষ্টব্য: শুধুমাত্র প্রথম লগইনের জন্য ইন্টারনেট সংযোগ প্রয়োজন। পরবর্তী যেকোনো লগইন ইন্টারনেট অ্যাক্সেস ছাড়াই ঘটতে পারে।
2. প্রমাণীকরণের জন্য সিকিউর LDAP ব্যবহার করার জন্য কনফিগার করা ব্যবহারকারী অ্যাকাউন্ট দিয়ে ডিভাইসে সাইন ইন করুন।

স্থাপনার পর্যায়

এই বিভাগের নির্দেশাবলী আপনার ব্যবহারকারীদের জন্য ডিভাইস কনফিগারেশন স্বয়ংক্রিয় করার উপর দৃষ্টি নিবদ্ধ করে। প্রস্তুতির পর্যায়ে আপনি যেখানে আপনার ম্যানুয়াল কনফিগারেশন সম্পন্ন করেছেন সেই একই macOS ডিভাইসে নীচের ধাপ 1 এবং 2 সম্পাদন করুন।

Step 1: Create a Mac Profile with certificate using Apple Configurator 2

1. Install Apple Configurator 2 on the machine where you manually configured macOS authentication with Secure LDAP.
2. Open Apple Configurator 2, create a new profile and in the Certificate section, click Configure, and import the previously generated .p12 file.

   Note: Make sure this .p12 has a password. Enter this password in the Password section of the Certificate.

3. Save this Profile.
4. (For devices using M1 or M2 processors, skip this step and continue to Step 5. ) Open this profile in any text editor and add the following lines in first <dict> tag:
   
   <key>PayloadScope</key>
<string>System</string>
   
   This is added, as Apple Configurator does not support profiles for macOS yet.
   
5. In the second <dict> tag, parallel to certificate data, add the following lines:
   
   <key>AllowAllAppsAccess</key>
<true/>
   
   This will make sure that this certificate can be accessed by all applications.

Step 2: Convert Directory config file (plist) to xml

In this step, you are extracting all the manual configurations that you completed during step 3 of the preparation phase into a XML file. You can use this file and the Mac profile created in step 1 above to automatically configure other macOS devices.

1. Copy /Library/Preferences/OpenDirectory/Configurations/LDAPv3/ldap.google.com.plist to your desktop or elsewhere.
2. Convert it to XML so that you can inspect it in any text editor. Run the following command in Terminal:
   
   sudo plutil -convert xml1 <path>/ldap.google.com.plist
   
   You can access the file as <path>/ldap.google.com.plist .
   
3. Change the permission of the above file so that you can open the XML file. Make sure it is not empty.

Step 3: Create a python script to automate the configuration on your end-user devices

Copy the python script below and save it as a python file (.py file).

Note: This sample script is designed to be compatible with Python version 3.10.x. This script is provided on an as-is basis. Google support will not provide support for sample scripts.

Ldap_python_config.py

#!/usr/bin/python
from OpenDirectory import ODNode, ODSession, kODNodeTypeConfigure
from Foundation import NSMutableData, NSData

import os
import sys

# Reading plist
GOOGLELDAPCONFIGFILE = open(sys.argv[1], "r")
CONFIG = GOOGLELDAPCONFIGFILE.read()
GOOGLELDAPCONFIGFILE.close()

# Write the plist
od_session = ODSession.defaultSession()
od_conf_node, err = ODNode.nodeWithSession_type_error_(od_session, kODNodeTypeConfigure, None)
request = NSMutableData.dataWithBytes_length_(b' '*32, 32)
request.appendData_(NSData.dataWithBytes_length_(str.encode(CONFIG), len(CONFIG)))
response, err = od_conf_node.customCall_sendData_error_(99991, request, None)

# Edit the default search path and append the new node to allow for login
os.system("dscl -q localhost -append /Search CSPSearchPath /LDAPv3/ldap.google.com")
os.system("bash -c 'echo -e \"TLS_IDENTITY\tLDAP Client\" >> /etc/openldap/ldap.conf' ")

Step 4: Auto configure end-user devices

Go to other macOS devices that you would like to configure and follow these steps:

1. Copy the Mac Profile file generated in step 1, XML config file generated in step 2, and the python script from step 3 to the device.
2. To install the necessary dependency for the script, run the following command:
   python3 -m pip install pyobjc-framework-opendirectory
3. Run the following command:
   sudo python </path/to/saved_python_script> </path/to/ldap.google.com.plist generated in step 2>
4. To import certificates into the macOS system keychain, double-click on the Mac profile file generated in step 1, and when prompted provide your macOS local admin credentials. You will then be prompted to enter the .p12 password that you set during the preparation phase.
5. Restart the macOS machine.
6. Create mobile accounts as instructed in step 4 of the preparation phase, and optionally set additional preferences outlined in step 5 of the preparation phase.

Limitations and guidelines

• For users signing in to macOS using their Google credentials, their Workspace account username must be different from their macOS user profile user ID, or sign-in is blocked.
• Once a user starts signing in to macOS using Google credentials, user password management (reset or recovery) must happen on the Google website (for example, at myaccount.google.com or in the Google Admin console). If you choose to do password management using a third-party solution, then make sure the latest password is synchronized with Google.
• If the admin creates a new user or resets an existing user's password with the Ask for a password change at the next sign-in setting turned on, the user cannot sign in to Mac using the temporary password set by the admin.
  Workaround: The user needs to sign in to Google using another device (for example, their mobile device or other desktop device), set a permanent password, and then sign in to macOS using the new password.
• The Mac must be connected to a working internet connection so that ldap.google.com is reachable during the first sign-in after the above configuration. Any subsequent sign-ins won't need Internet access as long as you opted to set up a mobile account.
• Google Secure LDAP integration with macOS is tested on macOS Catalina, Big Sur, and Monterey.

সমস্যা সমাধান

If you have problems connecting to the Secure LDAP service, follow the instructions below.

Step 1: Verify the connection.

Verify the connection using odutil.
Run the odutil show nodenames command in the terminal.
Verify that the /LDAPv3/ldap.google.com status is online . If it's not online, try the telnet option.

Verify the connection using nc.
Execute the following command in the terminal: nc -zv ldap.google.com 636
If you aren't able to connect to Google using this approach, try connecting using IPv4.

Verify the connection with IPv4.
You can change your device to use IPv4 using the following steps:

1. Go to System Preferences > Network > Wi-Fi > Advanced .
2. Under the Advanced menu, go to the TCP/IP tab.
3. Change the drop-down selection from Configure IPv6 to Link-local only .
4. Click OK , and then click Apply to save the changes.
5. Check service authentication via ldapsearch connectivity and valid search.

Step 2: Check whether you are able to see directory objects.

1. Open Directory Utility , and then open the Directory Editor tab.
2. Select the /LDAPv3/ldap.google.com node in the drop-down list.
3. Verify whether you are able to see users and groups from your Google domain.